云计算中一种安全有效的数据存储方案
摘要:引入可信的第三方TPA,基于RSA算法、Hash 函数和DES算法,为云计算提出一种能为数据提供机密性和完整性的安全存储方案SCBRHD。该方案利用RSA算法、Hash 函数及DES算法进行加密来确保数据的机密性和存储安全。数据通过二次加密存储在云服务器,加密、解密和认证只涉及终端用户和TPA。给出了方案的架构模型和算法流程,并在Linux平台的Cloudsim云计算仿真环境下对其进行仿真分析,验证其有效性。
关键词:云计算;机密性;完整性;存储安全;加密解密
中图分类号:TP393 文献标志码:A 文章编号:
1006-8228(2016)06-43-05
Abstract:In this paper,with the introduction of trusted third party TPA(Third Party Auditor),the SCBRHD scheme is proposed to provide cloud computing with a security data storage of confidentiality and integrity. The scheme uses RSA encryption algorithm,Hash function and DES algorithm to ensure the confidentiality and security of data storage. The data is stored into the cloud server after twice encrypting;the
encryption,decryption and authentication only involve the end-user and TPA. The architecture and algorithm of the scheme are also given,and the scheme is simulated in Linux Cloudsim cloud computing environment to verify its validity.
Key words:cloud computing;confidentiality;integrality;storage security;encryption and decryption
0 引言
云计算是一种新出现的技术,通过互联网提供各种硬件、软件和应用服务[1]。由于其资源利用率高、大容量的存储空间、超强的处理能力等特性,使其成为未来的主流计算模式。但由于云计算的开放性特点,通过互联网为终端用户提供各种服务,所以存在潜在的安全隐患,数据的隐私保护和安全存储问题成为云计算推广的巨大障碍[2]。据调查,74%的IT
行业行政主管和办公室人员因为安全和隐私风险不希望把
他们的信息存储在云服务器上。因此,需要新的服务体系结构来处理终端用户在云服务器上存储数据的安全问题。为云计算建立安全的数据存储方案,成为云计算为终端用户提供可靠服务的一个重要问题[3]。
针对当前云计算存在的安全风险,不少学者对云计算的数据安全存储和隐私保护问题进行了研究。Choudhury等人[4]提出一种认证框架,在用户访问云服务器之前其合法性被强制验证,通过提供管理认证,在用户和云服务器之间建立
会话。通过评估,该方案可以抵制各种攻击如人为攻击、重放攻击和拒绝服务攻击等。XiaoChun YIN等人[5]基于PKI体系,利用椭圆曲线密码原理(Elliptic Curve Cryptography,ECC),为云计算提出一种安全的数据存储方案。
本文引入可信的第三方TPA,基于RSA算法、Hash函数和DES算法,为云计算提出一种能为数据提供机密性和完整性的安全存储方案SCBRHD。给出了方案的架构模型和算法
流程,并在Linux下的云计算模拟仿真环境Cloudsim对其进行仿真分析,验证其有效性。
1 参与者及相关加密算法介绍
1.1 参与者及相关符号说明
本文提出的SCBRHD,提供安全的数据存储,涉及到三
个参与者,分别是终端用户(End-User,EU)、可信第三方(Third Party Auditor,TPA)和云服务器(Cloud Service,CS)。这些参与者及其角色描述如表1。
1.2 相关加密算法介绍
RSA算法:RSA是一种公钥加密算法。RSA可用于密钥交换、数字签名或数据块加密。RSA用一个可变大小的加密块
和一个可变大小的密钥进行加密。在SCBRHD中,RSA用来
生成终端用户和TPA的对应密钥,这些密钥用来对文件进行加密和解密。
Hash函数:Hash函数运算可以把任意长度的消息生成
固定长度的摘要。对每一个消息,Hash函数都能产生一个较短而固定长度的摘要,且都是独一无二的。这对Hash函数安全性方面的主要要求是单向函数(不可逆的),且他们不能产生冲突。在SCBRHD中,通过Hash函数校验,能维持数据的完整性。
DES算法:DES即数据加密标准,是一种对称密钥块密码,为64位块大小和56位的密钥。在加密端,DES利用64位的普通文本产生64位的密码文本,在解密端,DES利用64位密码文本产生64位的块文本。在SCBRHD方案中,TPA 利用DES算法来为EU的文件提供更可靠的安全服务。TPA
在往云服务器发送文件之前执行DES算法。利用DES算法,可以为用户提供更安全的数据。
2 SCBRHD的架构模型和算法流程
本文提出的SCBRHD方案,利用RSA算法、Hash函数和DES算法及相关加密工具来为云计算提供安全的数据存储服务。在SCBRHD中,EU和TPA分别有两个密钥,即公钥和私钥。SCBRHD对数据进行两次加密,首先通过EU私钥进行加密,再由TPA公钥进行加密,这为EU提供数据的机密性。该方案利用RSA算法和DES算法来执行加密和解密,进行数据认证,通过计算Hash摘要,进行比较,确保数据的安全性。该方案的框架模型结构图如图1所示。SCBRHD 方案涉及以下操作。
⑴密钥产生:终端用户EU和可信第三方TPA分别利用RSA算法为自己产生一对密钥。其中TPA的私钥为pk1,EU 的私钥为pk2;TPA的公钥为d1,EU的公钥为d2。
⑵密钥共享:TPA密钥集合{pk1,d1}在TPA上,EU的密钥集合为{pk2,d2},在EU上。TPA使用安全信道和EU共享器公钥d1。
⑶加密:首先,EU利用其公钥d2对数据文件F进行加密E(F,d2),然后进行Hash运算,生成Hash摘要H(E(F,d2)),接着,用TPA公钥d1对E(F,d2)进行二次加密E (E(F,d2),d1)。之后,Hash摘要H(E(F,d2))再次由d1加密E(H(E(F,d2)),d1)。此时,这两个包为E(E (F,d2),d1)|E(H(E(F,d2)),d1),被附加在数据上发往TPA。
TPA存储数据的Hash摘要,以确保数据的完整性。TPA 用其私钥对接收到的E(E(F,d2),d1)进行解密,得到E (F,d2)。接着,TPA通过DES算法产生一个随机密钥k对E(F,d2)进行加密,然后将再次加密后的数据发往CS。这样,数据的安全性得到进一步保障,而产生的随机密钥由TPA 存储,用于将来解密。
⑷解密:当要求验证数据文件的正确性时,经DES加密后存储在云服务器上的数据文件{Encrypt(E(F,d2))}发送到TPA。TPA首先通过自己存储的DES随机密钥K对数
据进行解密;然后TPA生成从CS中获得加密文件的Hash摘要;接着,TPA对数据文件原始加密的Hash摘要进行解密,并将其与新生成的Hash摘要相比较,若一致,说明数据文件没有被修改过,是安全的。这样,可以确定EU请求的数据文件是否正确。传送到EU的数据文件是由其公钥加密,所以也只有EU能解密。EU接收到加密文件后,用其自身的私钥解密,从而可以读取数据文件。
图2给出EU、TPA和CS之间对数据文件进行加密、存储到云服务器的过程,以及EU读取数据时TPA对数据文件的校验认证、解密,EU的解密过程。
SCBRHD方案涉及的算法对应三个参与者交互的过程,可以细分为三个算法。算法1给出数据由EU存储到CS的加密过程。算法2进行验证,给出TPA验证数据完整性的过程。算法3给出文件恢复过程,指数据从CS通过TPA,然后到EU的过程。
3 安全性分析及性能分析
3.1 安全性分析
本文提出的SCBRHD方案,数据通过强有力的加密算法进行加密,并由Hash摘要进行验证,对非授权用户是保密的。因此数据的机密性和完整性就可以得到保证。以下是对SCBRHD方案的安全性分析。
数据的正确性和完整性:在SCBRHD中,只有EU能够对
从可信第三方TPA接收到的数据进行解密。因为该数据是由EU的公钥d2加密,所以,只有其对应的私钥pk2可以解密,而私钥只有EU知道,因此数据的正确性得到保证。当EU想读取存储在CS上的数据时,TPA要求对来自CS的数据执行数据完整性验证,这保证了数据的完整性。
鉴定认证:EU利用自己的密钥标记Hash摘要,其他人无法对其标记,因此TPA很容易找出发送消息者进行鉴定。如果其他任何人从CS下载该数据文件,通过任何方式执行修改后再上传到CS,而上传的时候需要EU的私钥pk2对文件进行标记,因此,TPA很容易识别一个用户是否合法。
数据机密性:数据在可信第三方TPA和云服务器CS之间加密和编码,避免了云服务器知道文件的内容,保证了文件的隐私和机密性。数据只以密文形式在网络上传输,所以入侵者无法从传输的文件中知道文件的具体信息。在SCBRHD 中,CS只存储加密的数据文件,不参与加密解密,所以CS 无法得到文件的任何信息,能确保数据的机密性。
预防网络攻击:EU必须通过互联网才能将数据存储到CS上,EU通过互联网可以从CS中访问自己的数据,这就有被入侵者攻击的危险。但在SCBRHD中,传输的数据是通过不对称加密和使用一次Hash摘要。传输的数据包含加密的Hash摘要,而入侵者无论扮演何种角色都难以解密。若有人对数据和Hash摘要进行修改,TPA很容易就能证实,最终将
结果传给EU。因此,SCBRHD能有效的预防网络攻击。
3.2 性能分析
由EU、TPA和CS分别完成相应的操作。EU执行更多的加密操作,而TPA既执行加密操作也执行解密操作,减少了用户的解密操作。CS仅存储EU的加密数据,没有涉及加密和解密。EU、TPA和CS的开销情况如表3所示。涉及加密操作(指数操作)配对操作和计算Hash摘要。这些加密操作都是在EU和TPA上完成。表3和表4比较了EU和TPA上加密和解密过程的指数操作、Hash函数计算和配对操作。
首先,分析EU和TPA加密过程指数操作。文件加密过程中,EU首先执行一个指数操作,接着在文件二次加密过程中再执行一次指数操作,然后在Hash加密过程再执行一次指数操作。因此,在EU上一共执行了三次指数操作。此时在TPA中,在接收到消息的解密过程中执行了一次指数操作,在存储到CS之前进一步加密再执行一次指数操作。所以TPA 在加密过程中一共执行两次指数操作。在解密过程中,EU只执行一次指数操作。而TPA执行了两次。所以在解密过程中,TPA比EU做了更多的工作。
其次,分析EU和TPA的Hash运算。EU执行一次Hash 运算,以找到消息的Hash摘要。在TPA中,加密过程没有涉及Hash运算。在解密过程中,EU没有涉及Hash运算,在TPA上执行一次Hash运算以验证数据的完整性。
再次,分析EU和TPA上的配对运算。加密过程在TPA
端有一次配对运算。加密过程在EU和TPA都没有配对运算。通过表3、表4可知,在云存储器上没有涉及到运算,CS只提供为EU存储数据。很多运算在TPA完成,减少了EU的工作。 4 仿真
4.1 仿真环境
本文在Linux环境下的云计算环境模拟仿真工具Cloudsim[6]上,对提出的SCBRHD进行仿真验证。Cloudsim
是2009年推出,由澳大利亚墨尔本大学Rajkumar Buyya教
授领导团队开发的云计算仿真器,其目标是在云基础设施(软件、硬件、服务)上,对不同应用和服务模型的调度和分配策略的性能进行量化和比较,达到控制使用云计算资源的目的。
4.2 仿真结果
本文在Cloudsim上模拟EU、TPA和CS,对所提出的方
案进行模拟仿真实验。实验机器配置:CPU:AMD 3.2G;内存4G MB;硬盘:6*150G SATA硬盘;OS:红旗Linux 7.0。
设置一个终端用户EU、一个TPA和一个数据处理中心(CS),虚拟机采用空间共享方式,网络延迟等参数采用环境默认值。实验时,用户存储文件数量从1到500个,用来测试云模拟基础设施的运算能力。本文主要测试在SCBRHD中从EU加密数据最终存储到CS所消耗的时间,以及EU发出请求最终从
CS读取数据所需要的时间,验证该方案的可行。实验结果如图3所示。
由图3结果可知,一个终端用户通过加密将500个文件存储到云服务器大约需要15.6秒,而从云服务器读取500个文件大约要21.6秒。读取时间比存储时间要长,主要原因是读取文件的时间除了解密时间外还有一个完整性校验的过程,故时间比存储的时候要稍长。但从总的存取时间来看,是在用户完全可以接受的范围,表明了SCBRHD方案的有效性。
5 结束语
本文针对终端用户将数据存储在云服务器上所面临的
隐私保护和安全存储问题,引入可信的第三方TPA,基于RSA 算法、Hash函数和DES算法,为云计算提出一种能为数据提供机密性和完整性的安全存储方案SCBRHD。该方案利用RSA 算法、Hash函数及DES算法进行加密来确保数据的机密性和存储安全。给出了方案的架构模型和算法流程,在Linux平台下的云计算模拟仿真环境Cloudsim对其进行仿真实验,并对其性能指标进行分析,结果表明提出SCBRHD方案的有效性。本文的研究对云计算中的数据安全存储具有一定的参考意义。
参考文献(References):
[1] M.Armbrust, A.Fox,R.Griffith. "A View of Cloud
Computing," Communications of the ACM Magazine,2010.53(4):50-58
[2] 冯朝胜,秦志光,袁丁.云数据安全存储技术[J].计算机学报,
2014.37.
[3] 李晖,孙文海,李凤华等.公共云存储服务数据安全及隐私保
护技术综述[J].计算机研究与发展,2014.51(7):1397-1409
[4] A.J.Choudhury,P.Kumar,M. Sain,L. Hyotaek. "A Strong
User Authentication Framework for Cloud Computing," in Proc. IEEE Asia-Pacific Services Computing Conference (APSCC),Jeju Island,South Korea,2011:110-115
[5] XiaoChun Yin,Non Thiranant,Hoonjae Lee. Secured
Data Storage Scheme in Cloud Computing using Elliptic Curve Cryptography,APICIST 2013.
[6] Rodrigo N. Calheiros,Rajiv Ranjan. CloudSim: a toolkit for
modeling and simulation of cloud computing environments and evaluation of resource provisioning algorithms. Software:Practice and Experience,2011.41(1):
23-50
NAS网络存储解决方案
一.石科院存储备份系统的基本目标 1.足够的存储备份空间,可以满足现在及未来几年的数据存储备份需求; 2.开放式平台,实现弹性规划,支持现有平台并方便未来添加新系统; 3.具有高可用性,保证存储设备中数据的安全; 4.实现异种平台间的数据共享; 5.简化备份/恢复操作,对备份数据实现分级管理; 6.高效率地实现存储备份工作过程 二.NAS网络存储网络架构 本次投标的NAS网络存储解决方案在充分考虑用户需求的同时,充分满足日益增长的存储需求,利用成熟的NAS网络存储设备解决方案,实现了大容量数据在异构网络内的存储与备份。 方案中采用IBM-300作为NAS网络存储设备,实现异构服务器对NAS网络存储的高速访问,NAS300内部采用高可用性设计的冗余光纤连接,及光纤盘阵(采用73G光纤磁盘)进行存储扩展,同时IBM-3583磁带库连接NAS300网络存储服务器实现数据备份. 网络结构见附图。 三.厂商介绍 1.IBM公司存储系统部 人类社会进入信息时代,计算机的应用已进入千家万户,计算机系统中的存储设备更是与人们的生活有着密不可分的关系。由于多媒体技术的广泛应用,Internet及Intranet的迅猛发展,电子商务及数字图书馆的方兴未艾,数据爆炸越来越成为人们所关心的热点,相应而来的对数据存储的需求以每年2-3倍的速度迅速增长。 谈到“存储”,许多人首先会想到3英寸软盘或是计算机硬盘,而它们只是一些简单的存储介质。我们在这里要说的是在计算机系统中扮演非常重要角色的存储系统。“存储系统”
这个词看起来貌似陌生,其实与我们每天的生活息息相关。例如当我们去银行办理存取款业务时,通过帐号银行便可马上从计算机系统中调出帐户的所有信息,包括存款、支取、利息计算等。这些至关重要而又非常庞大的数据信息必须妥善保存才能保证银行业务的正常运行。担当此重任的正是计算机系统中的存储系统。这样的例子在生活中是不胜枚举的,例如电信局对移动电话话费的管理,股票交易所每日大量数据的交换,石油勘探队采掘信息的记录等,存储系统在这些领域都发挥着不可替代的作用。 存储系统,包括数据记录介质如磁盘、光盘和磁带,大型自动化的数据记录系统如磁盘阵列、磁带库和光盘库,以及存储管理软件。磁盘系统拥有最高的数据传输速度,适于主机直接的数据访问。磁带和光盘系统适于数据的近线、离线访问,数据检索和数据备份。存储管理软件,则帮助我们将服务器--客户端的分布式网络环境中的数据进行集中的统一管理。 回顾存储系统的发展历程,1956年9月,IBM公司发明了世界上第一台数据存储器,305RAMAC。它标志着直接数据访问存储系统工业的诞生。在此之后,IBM一直以其无人可及的技术发明和产品领导着存储系统工业的发展。IBM发明了软盘驱动器、Winchester硬盘驱动器、RAID技术专利和磁阻记录磁头技术,将存储技术推入一个个新纪元。1999年,IBM在存储领域获得了220多项专利,超过了业界其它存储厂商的总和。从第一台约有三个冰箱大的数据存储器的诞生到现在,IBM已推出了最新的1GB硬盘,其大小只相当于一枚一元硬币,从体积、容量、存取速度方面都较以前有了惊人的发展。 2000年,IBM在存储领域获得了320多项专利,拥有此领域50%以上的专利,超过了业界其他主要存储厂商的总和 ,并因此在2000年11月12日获得了“美国国家卓越科技勋章”以表彰IBM公司多年来在数据存储领域所取得的成就和领先地位。 今天,存储系统的高可靠性,高性能,良好的扩充能力,及易于管理性已经成为存储设备的必需。信息是计算机系统最宝贵的资源,保护信息的安全,进行迅速的信息访问是存储
云安全解决方案白皮书Cloud Security Solution
目录 —云计算典型体系结构1 云计算系统分类 云计算系统典型物理架构云计算系统逻辑结构1 1 2 二云计算安全威胁和需求分析3 安全威胁分析安全需求和挑战4 5 三云安全防护总体架构设计5 设计思路 安全保障目标 安全保障体系框架 安全保障体系总体技术实现架构设计5 6 6 7 四云平台安全域划分和防护设计8 安全域划分安全防护设计 9 13 五云计算安全防护方案的演进24 虚拟化环境中的安全防护措施部署软件定义安全体系架构 安全运营24 24 28 六云安全技术服务28 私有云安全评估和加固 私有云平台安全设计咨询服务28 29 七云安全解决方案33 作者和贡献者 关注云安全解决方案33 34 八关于科技34图表 图一.1 云典型架构 (2) 图一.2 云典型逻辑结构 (3) 图三.3 云平台安全保障体系框架 (6) 图三.4 云平台安全技术实现架构 (7) 图三.5 具有安全防护机制的云平台体系架构 (8) 图四.6 云平台安全域逻辑划分 (9) 图四.7 安全域划分示例 (11) 图四.8 传统安全措施的部署 (13) 图四.9 虚拟化防火墙部署 (14) 图四.10 异常流量监测系统部署 (16) 图四.11 网络入侵检测系统部署图 (17) 图四.12 虚拟化Web 应用防火墙部署 (19) 图四.13 堡垒机应用场景 (21) 图四.14 堡垒机部署图 (22) 图四.15 安全管理子区 (22) 图五.16 SDN 典型架构 (25) 图五.17 软件定义安全防护体系架构 (25) 图五.18 使用SDN 技术的安全设备部署图 (26) 图五.19 使用SDN 技术实现流量牵引的原理图 (27) 图五.20 基于手工配置的IPS 防护模式 (28) 图六.21 服务提供者与客户之间的安全控制职责范围划分. 30图六.22 云计算关键领域安全 (31) 图六.23 安全咨询服务思路 (32) 关键信息 本方案首先研究了云计算系统的典型结构,分析了云计算系统面临的安全威胁、安全需求和挑战,进而对云安全防护总体架构,包括保障内容和实现机制、部署方法进行了设计和详细阐述,并介绍了云安全相关的安全技术服务内容和范围,最后给出了典型的云安全防护场景。
数据存储解决方案: DAS:直接连接存储(Direct Attached Storage) 定义:是将存储设备通过SCSI(小型计算机系统接口)Small Computer System Interface直接连接到计算机主机上(服务器)。是大容量设备到服务器和LAN的最主要方法。在该连接方式中,一组磁盘直接附加到服务器。 目的:为服务器有效拓展存储空间 优点:1.成本比较低廉,部署快捷简单。这是DAS附加存储最大的特点之一。 2.通过简单快捷的方式即可实现大容量存储。 3.可以实现应用服务器与存储设备的分离。 在DAS解决方案中,应用服务器与存储设备是相对独立的。如此可以对数据进行 集中的管理及备份。而且当应用服务器出现故障时,数据也不会丢失。还可以通 过代用的服务器,直接连接到存储设备中,减少系统的宕机时间。 缺点:直连式存储与服务器主机之间的连接通道通常采用SCSI连接,随着服务器CPU的处理能力越来越强,存储硬盘空间越来越大,阵列的硬盘数量越来越多,SCSI通道 将会成为IO瓶颈;服务器主机SCSI ID资源有限,能够建立的SCSI通道连接有限。 NAS:网络连接存储(Network Attached Storage) 定义:将存储设备通过一定的网络拓扑结构(以太网)连接到一群计算机上。在NAS方式下,存储设备直接连接到LAN,存储数据直接在LAN上流动。适用成熟的TCP/IP技术,可以实现远距离的数据存储。 目的:企业数据保护;不同操作系统的文件级共享。 优点:.1.为业务关键数据提供有效保障,可有效避免因为系统硬件故障、应用程序或操作系统出错所导致的数据丢失。 2.部署非常简单,低成本,与TCP/IP网络集成。 3.可实现不同操作系统级的文件级共享。 缺点:.备份过程带宽消耗大,难以在应用层上进行扩展,安全性较差。 适用范围:部门级的存储方法,在于帮助工作组和部门级机构解决迅速增加存储容量的要求。 NAS数据保护型:
云计算安全解决方案
目录 云计算安全解决方案 0 1.云计算的特点 (2) 2.云计算的安全体系架构 (2) 3.云计算面临的安全隐患 (3) 3.1云平台的安全隐患 (3) 3.2应用服务层的安全隐患 (3) 3.3基础设施层的安全隐患 (4) 4.云计算的安全解决方案 (4) 4.1确保云平台的安全 (4) 4.2确保应用服务层的安全 (5) 4.3确保基础设施层的安全 (6) 5.云计算安全的未来展望 (7)
1.云计算的特点 超大规模。“云计算管理系统”具有相当的规模,Google的云计算已经拥有100 多万台服务器,Amazon、IBM、微软、Yahoo 等的“云”均拥有几十万台服务器。“云”能赋予用户前所未有的计算能力。 虚拟化。云计算支持用户在任意位置、使用各种终端获取应用服务。所请求的资源来自“云”,而不是固定的有形的实体。应用在“云”中某处运行,但实际上用户无需了解、也不用担心应用运行的具体位置。 高可靠性。“云”使用了数据多副本容错、计算节点同构可互换等措施来保障服务的高可靠性,使用云计算比使用本地计算机可靠。 通用性。云计算不针对特定的应用,在“云”的支撑下可以构造出千变万化的应用,同一个“云”可以同时支撑不同的应用运行。 高可扩展性。“云”的规模可以动态伸缩,满足应用和用户规模增长的需要。 廉价。由于“云”的特殊容错措施可以采用极其廉价的节点来构成云,因此用户可以充分享受“云”的低成本优势。 目前各家所提的云安全解决方案,大都根据自己企业对云平台安全的理解,结合本企业专长,专注于某一方面的安全。然而,对于用户来说云平台是一个整体,急需一套针对云平台的整体保护技术方案。针对云平台的信息安全整体保护技术的研究的是大势所趋,整体保护技术体系的建立,必将使云计算得以更加健康、有序的发展。 2.云计算的安全体系架构 云计算平台和传统计算平台的最大区别在于计算环境,云平台的计算环境是通过网络把多个成本相对较低的计算实体整合而形成的一个具有强大计算能力的系统,这样的一个系统势必比传统意义上的计算环境要更加复杂。对云平台的计算环境的保护也是云平台下信息安全整体保护体系的重中之重。 强大、方便的云计算服务是通过客户端最终展现给用户的,在云计算环境完成了客户所要求的工作或服务后,这些工作、服务的成果应通过一个安全的途径传输并最终展现在客户端上。云计算环境下的通信网络就是保证云计算环境到客户端、云计算环境之间进行信息传输以及实施安全策略的部件。 区域边界是云计算环境与云通信网络实现边界连接以及实施安全策略的相关部件。真正的云计算环境应是可控的,在这一可控的云区域与其外部的不可控区域之间,应遵循一套规则来确保只有通过认证的用户才能管理和使用云,从而保证云计算环境区域的安全。 云计算环境内部的各个部件的正常运转、数据在云内的安全传输、云计算环
顶尖云 桌面云解决方案 北京金山顶尖科技股份有限公司 2015年3月
目录 概述 ................................................................. 错误!未定义书签。第一章、桌面虚拟化技术介绍........................................ 错误!未定义书签。 . 什么是桌面虚拟化?........................................ 错误!未定义书签。 . 桌面虚拟化VDI&VOI ........................................ 错误!未定义书签。 虚拟桌面基础架构VDI ................................... 错误!未定义书签。 物理桌面虚拟化VOI ..................................... 错误!未定义书签。 . 桌面虚拟化市场发展趋势.................................... 错误!未定义书签。 VDI竞争激烈,市场规模不断扩大......................... 错误!未定义书签。 VOI新型桌面虚拟化崭露头角............................. 错误!未定义书签。 桌面虚拟化最佳路线VDI+VOI ............................. 错误!未定义书签。第二章、为什么要使用桌面虚拟化?.................................. 错误!未定义书签。 . 传统桌面管理面临的挑战.................................... 错误!未定义书签。 . 传统桌面管理存在的问题.................................... 错误!未定义书签。第三章、顶尖云桌面云整体架构设计.................................. 错误!未定义书签。 . 方案结构.................................................. 错误!未定义书签。 . 工作原理.................................................. 错误!未定义书签。第四章、顶尖云桌面云详细设计...................................... 错误!未定义书签。 . 顶尖云桌面云 VDI设计 ..................................... 错误!未定义书签。 顶尖云VDI ............................................. 错误!未定义书签。 顶尖云VDI架构设计.................................... 错误!未定义书签。 顶尖云VDI功能特性.................................... 错误!未定义书签。 . 顶尖云桌面云 VOI设计 ..................................... 错误!未定义书签。 顶尖云VOI ............................................. 错误!未定义书签。 顶尖云VOI架构设计.................................... 错误!未定义书签。 顶尖云VOI功能特性.................................... 错误!未定义书签。 . 顶尖云桌面云云应用设计................................... 错误!未定义书签。 顶尖云云应用.......................................... 错误!未定义书签。 云应用功能特性........................................ 错误!未定义书签。 . 顶尖云桌面云云盘设计..................................... 错误!未定义书签。
云计算发展白皮书
前言 在刚刚结束的全国“两会”中,“新基建”首次写入政府工作报告。“新基建”不仅有助于扩内需、促消费、稳增长,还将为产业发展注入数字动力,成为促进经济增长的新动能。随着“新基建”的推进,云计算必将加快应用落地进程,在各个行业实现快速发展。 本白皮书聚焦过去一年多来云计算产业的发展变化,梳理当前发展热点,展望未来发展趋势。白皮书首先介绍了云计算产业发展概况,然后重点围绕云原生、SaaS、分布式云、原生云安全、数字化转型、新基建等云计算领域热点话题进行探讨,最后对云计算未来发展进行了展望。
一、云计算产业发展概况 (1) (一)全球云计算市场稳定增长,我国公有云规模首超私有云 (1) (二)我国IaaS 发展成熟,PaaS 增长高速,SaaS 潜力巨大 (3) (三)云技术不断推陈出新,云原生采纳率持续攀升 (5) (四)云计算使用率持续提升,分布式云初露头角 (5) (五)安全能力备受关注,原生云安全理念兴起 (7) (六)降本增效显著,云计算成数字化转型关键要素 (7) (七)利好政策不断加码,云计算成新基建重要组成 (8) 二、云原生技术体系日臻成熟,构建数字中台底座 (9) (一)云原生重塑中间件产品 (10) (二)云原生如何更好的服务上层应用成焦点 (11) (三)云原生助力数字中台建设 (12) 三、SaaS 市场开始加速,将成企业上云重要抓手 (14) (一)国外SaaS 市场模式成熟,国内SaaS 蓄势待发 (14) (二)疫情推动SaaS 服务迎来发展新机遇 (16) (三)SaaS 直击企业痛点,加速中小企业应用上云 (18) (四)深耕行业,SaaS 服务向平台化、智能化发展 (19) 四、分布式云成云计算新形态,助力行业转型升级 (21) (一)云计算从中心向边缘延伸 (21) (二)云边协同成为分布式云的核心 (22) (三)云边协同助力行业应用转型升级 (25) 五、原生云安全理念兴起,推动安全与云深度融合 (30) (一)云原生重塑IT 架构,端到端安全风险引关注 (30) (二)原生云安全推动安全与云深度融合 (33) 六、数字化转型旨在提高生产力,云化能力是关键 (40) (一)数字化转型核心是提高生产力,传统信息基础设施亟待升级 (40) (二)云计算加速数字化转型,显著提升企业生产力 (43) (三)IT 云化管理平台作用凸显,技术服务助力企业转型升级 (45) 七、云定位从基础资源向基建操作系统扩展,提升算力与网络水平 (48) (一)新基建概念明确,云计算既是基础资源也是操作系统 (48) (二)云计算加速网络变革,推动通信网络基础设施优化升级 (53) (三)云计算加强多种算力统一调度,提高算力基础设施资源利用率 .. 56 八、云计算发展展望 (58)
XXXX 桌面云解决方案建议书 201X年X月 深信服科技有限公司
目录 第1章项目概述 (1) 1.1项目背景 (1) 1.2需求分析 (1) 1.2.1高昂的运维和支持成本 (1) 1.2.2数据丢失和泄密风险大 (2) 1.2.3阻碍企业移动业务战略 (2) 1.3革新的桌面交付模式 (2) 1.3.1桌面云概念定义 (2) 1.3.2桌面云带来的变化 (3) 1.4设计原则 (3) 第2章深信服aDesk桌面云方案介绍 (4) 2.1一站式方案概述 (4) 2.2主要功能列表 (5) 2.3多种桌面交付类型 (8) 2.4方案价值总结 (9) 2.5方案优势介绍 (10) 第3章XXXX桌面云整体架构设计 (11) 3.1深信服桌面云整体架构 (11) 3.2组件及模块介绍 (11) 3.2.1AD/DHCP服务器 (11) 3.2.2桌面服务器和磁盘阵列(VMS) (12) 3.2.3虚拟桌面控制VDC (12) 3.2.4终端设备 (12) 3.3服务器群集设计思路 (13) 3.4深信服SRAP协议技术详解 (13) 第4章桌面云方案软硬件需求 (16) 4.1服务器存储选型依据 (16) 4.2容量估计及性能分析 (18)
4.3aDesk桌面云方案配置参数 (18) 4.3.1容量规划 (18) 4.3.2软硬件列表 (19) 第5章产品精彩亮点解析 (20) 5.1良好用户体验 (20) 5.1.1高清视频体验 (20) 5.1.2高效SRAP协议 (20) 5.1.3单点登录技术 (21) 5.1.4自动化桌面部署 (21) 5.2最优的灵活性 (22) 5.2.1广泛终端支持 (22) 5.2.2丰富的桌面类型 (22) 5.2.3外设的总线映射技术 (23) 5.2.4智能开关机 (24) 5.3端到端安全设计 (24) 5.3.1终端安全 (24) 5.3.2传输安全 (25) 5.3.3平台安全 (25) 5.4最低的IT总体成本 (26) 5.4.1高效率、低能耗瘦终端 (26) 5.4.2内存页合并技术 (27) 5.4.3镜像分离和IO加速 (27) 5.4.4桌面服务器群集设计 (28)
云计算20200225鄂州 云 计 算
目录 概述 (3) 产生背景 (4) 发展历程 (5) 特点 (7) 1、虚拟化技术。 (7) 2、动态可扩展。 (7) 3、按需部署。 (8) 4、灵活性高。 (8) 5、可靠性高。 (8) 6、性价比高。 (8) 7、可扩展性。 (9) 服务类型 (9) 1、基础设施即服务IaaS) (9) 2、平台即服务(PaaS) (9) 3、软件即服务(SaaS) (10) 实现关键技术 (10) 一、体系结构 (10) 二、资源监控 (11) 三、自动化部署 (11) 实现形式 (12) 安全威胁 (13) 1、云计算安全中隐私被窃取 (13) 2、云计算中资源被冒用 (14) 3、云计算中容易出现黑客的攻击 (14) 4、云计算中容易出现病毒 (15) 应用 (15) 1、存储云 (16) 2、医疗云 (16) 3、金融云 (16) 4、教育云 (17) 发展问题 (17) 1、访问的权限问题 (17) 2、技术保密性问题 (18) 3、数据完整性问题 (18) 4、法律法规不完善 (18) 完善措施 (19) 1、合理设置访问权限,保障用户信息安全 (19) 2、强化数据信息完整性,推进存储技术发展 (19) 3、建立健全法律法规,提高用户安全意识 (20)
云计算(cloud computing)是分布式计算的一种,指的是通过网络“云”将巨大的数据计算处理程序分解成无数个小程序,然后,通过多部服务器组成的系统进行处理和分析这些小程序得到结果并返 回给用户。云计算早期,简单地说,就是简单的分布式计算,解决任务分发,并进行计算结果的合并。因而,云计算又称为网格计算。通过这项技术,可以在很短的时间内(几秒种)完成对数以万计的数据的处理,从而达到强大的网络服务。 现阶段所说的云服务已经不单单是一种分布式计算,而是分布式计算、效用计算、负载均衡、并行计算、网络存储、热备份冗杂和虚拟化等计算机技术混合演进并跃升的结果。 概述 “云”实质上就是一个网络,狭义上讲,云计算就是一种提供资源的网络,使用者可以随时获取“云”上的资源,按需求量使用,并且可以看成是无限扩展的,只要按使用量付费就可以,“云”就像自来水厂一样,我们可以随时接水,并且不限量,按照自己家的用水量,付费给自来水厂就可以。 从广义上说,云计算是与信息技术、软件、互联网相关的一种服务,这种计算资源共享池叫做“云”,云计算把许多计算资源集合起来,通过软件实现自动化管理,只需要很少的人参与,就能让资源被快速提供。也就是说,计算能力作为一种商品,可以在互联网上流通,就像水、电、煤气一样,可以方便地取用,且价格较为低廉。
绿盾信息安全管理软件 解决方案 广东南方数码科技有限公司 2013年3月 ?版权所有·南方数码科技有限公司
一、背景简介 (4) 二、现状 (4) 三、绿盾简介 (5) 3.1系统架构 (5) 3.2系统概述 (5) 3.3绿盾主要功能 (6) 四、绿盾功能介绍 (6) 1、文件自动加密 (6) 1.1 文件自动加密 (6) 1.2文件外发途径管理 (7) 1.3文件审批流程 (8) 1.4文件自动备份 (8) 1.5离线管理 (8) 1.6终端操作员管理 (9) 2外网安全管理 (10) 2.1网页浏览监控 (10) 2.2上网规则 (10) 2.3 流量统计 (10) 2.4 邮件内容监控 (10) 3、内网安全管理 (11) 3.1屏幕监控 (11) 3.2实时日志 (11) 3.3聊天内容记录 (11) 3.4程序窗口变化记录 (11) 3.5文件操作日志 (11) 3.6应用程序限制 (11) 3.7远程操作 (12) 3.8资源管理器 (12) 4、设备限制 (12) 5、USB存储设备认证 (12)
五、绿盾优势 (12) 1、产品优势 (12) 2、功能优势 (13) 2.1高强度的加密体系 (13) 2.2完全透明的文件自动、实时加密 (13) 2.3文件外发管理功能 (13) 2.4灵活的自定义加密策略 (14) 2.5强大的文件备份功能 (14) 2.6全面的内网管理功能 (14) 2.7良好的平台兼容性 (14) 3、技术优势 (14) 3.1驱动层加密技术 (14) 3.2自主研发性能优越的数据库 (15) 3.3可自定义的受控程序 (15) 4、实施优势 (16) 六、服务体系 (16) 1、技术支持服务内容 (16) 2、响应时间 (16) 3、维护 (16)
华为存储解决方案
————————————————————————————————作者:————————————————————————————————日期:
华为存储解决方案包括企业级数据备份解决方案、企业级数据容灾解决方案、广域网低带宽环境下的备份解决方案 企业级数据备份解决方案 随着信息技术的不断发展,计算机的存储信息量不断增长,数据备份变的越来越重要。因而,如何保护好计算机系统里存储的数据,保证系统稳定可靠地运行,并为业务系统提供快捷可靠的访问,是系统建设中最重要的问题之一。华为公司针对目前IT信息系统发展的现状,采用华为OceanStor系列存储产品和企业备份恢复领域处于领先的赛门铁克NetBackup平台,提供市场领先的数据备份解决方案。通过对软硬件产品的整合,华为公司致力于向客户提供完备的、智能的、易管理的数据保护解决方案,全面解决客户因新业务的增长而带来的数据保护难题。 解决方案: 华为针对目前企业客户复杂的IT应用特点,根据客户不同需求,定制客户备份策略,全面保护客户的应用,为客户业务系统的健康稳定运行,提供坚实的后盾。主要可以实现以下功能: 集中管理功能 企业的小型机、服务器,工作站等常常分布在多个地点,通过华为的企业级备份方案,可以实现数据备份工作的远程集中管理和维护,并可以实现备份介质集中存放,自动管理,
减少了管理维护的复杂度。 支持多种组网架构 企业客户的业务系统,组网都比较复杂,而且对备份窗口的要求不尽相同。华为企业级备份方案可实现数据LAN-Base、LAN-Free等的备份方式,为不同的数据制定不同的备份方式,不仅满足客户对备份窗口的需求,而且降低了客户总体成本。 全面保护客户数据 ?保护主流的数据库以及其他常用IT应用; ?实现操作系统的快速的灾难恢复; ?从桌面应用到数据中心应用提供端到端的数据保护 ?备份数据生命周期管理 ?确保数据在合适时间存储在恰当的位置; ?将重要数据存储在磁盘上,而将不重要数据存储在磁带上; ?确保从磁盘中删除数据之前,已将数据迁移到磁带; ?利用生命周期策略自动执行数据管理 方案特点: ?华为提供软硬件结合的方案,提供包括备份服务器,软件,存储一体化的方案。通过预配置对产品进行打包,从而降低用户项目的管理风险,减少实施时间,为客户提供统一的服务; ?采用业界兼容性最好、成功应用案例最广泛的NetBackup数据保护软件,可以保护几乎所有的操作系统平台和数据库、应用; ?提供最宽广的数据保护平台:在同一平台上可以提供包括备份、重复数据删除、连续数据保护等数据保护方案; ?基于磁盘的数据保护:除了传统磁带解决方案之外,NetBackup结合OceanStor磁盘阵列等存储设备,使用磁盘来提供数据保护,充分发挥了磁盘在备份领域的优势。其中包括支持智能磁盘设备或环境中日常使用的现有磁盘。
云计算安全解决方案 目录 云计算安全解决方案 0 1.云计算的特点 (3) 2?云计算的安全体系架构 (4)
3?云计算面临的安全隐患 (5)
3.1云平台的安全隐患 (5) 3.2应用服务层的安全隐患 (6) 3.3基础设施层的安全隐患 (6) 4?云计算的安全解决方案 (7) 4.1确保云平台的安全 (7) 4.2确保应用服务层的安全 (8) 4.3确保基础设施层的安全 (9) 5.云计算安全的未来展望 (11)
1. 云计算的特点 超大规模。“云计算管理系统”具有相当的规模,Google的云计算已经拥有 100多万台服务器,Amazon、IBM、微软、Yahoo等的“云”均拥有几十万台服务 器。“云”能赋予用户前所未有的计算能力。 虚拟化。云计算支持用户在任意位置、使用各种终端获取应用服务。所请求的资源来自“云”,而不是固定的有形的实体。应用在“云”中某处运行,但实际上用户无需了解、也不用担心应用运行的具体位置。 高可靠性。“云”使用了数据多副本容错、计算节点同构可互换等措施来保障服务的高可靠性,使用云计算比使用本地计算机可靠。 通用性。云计算不针对特定的应用,在“云”的支撑下可以构造出千变万化的应用,同一个“云”可以同时支撑不同的应用运行。 高可扩展性。“云”的规模可以动态伸缩,满足应用和用户规模增长的需要。廉价。 由于“云”的特殊容错措施可以采用极其廉价的节点来构成云,因此用户可以充分享受“云”的低成本优势。 目前各家所提的云安全解决方案,大都根据自己企业对云平台安全的理解,结合本企业专长,专注于某一方面的安全。然而,对于用户来说云平台是一个整体,急需一套针对云平台的整体保护技术方案。针对云平台的信息安全整体保护技术的研究的是大势所趋,整体保护技术体系的建立,必将使云计算得以更加健康、有序的发展。 2. 云计算的安全体系架构 云计算平台和传统计算平台的最大区别在于计算环境,云平台的计算环境是
云计算白皮书 (2012年) 工业和信息化部电信研究院 2012年4月
版权声明 本白皮书版权属于工业和信息化部电信研究院,并受法律保护。转载、摘编或利用其它方式使用本白皮书文字或者观点的,应注明“来源:工业和信息化部电信研究院”。违反上述声明者,本院将追究其相关法律责任。
发表《云计算白皮书》,旨在与业界分享工业和信息化部电信研究院近年来在云计算领域的研究成果。 当前,云计算已经成为全球ICT产业界公认的发展重点。各国政府积极通过政策引导、资金投入等方式加快本国云计算的战略布局和产业发展;国际ICT产业巨头加快技术研发、企业转型和联盟合作以抢占云计算发展的主导权和新兴市场空间。我国在云计算领域已具备了一定的技术和产业基础,并拥有巨大的潜在市场空间,存在抓住机遇实现局部突破的机会,但当前发展过程中的产业技术差距、规划布局和制度环境等问题也日益显现。 本白皮书从产业体系、技术架构、数据中心、安全和政府作用等方面深入分析了国内外云计算发展形势,同时也分析了我国云计算发展过程中面临的机遇和存在的问题,提出了未来发展的思考与建议。
一、云计算概念 (1) 1. 云计算概念 (1) 2. 云计算的影响 (2) 二、云计算产业 (5) 1. 云计算产业体系 (5) 2. 全球云计算产业发展现状 (7) 3. 我国云计算产业发展现状 (9) 三、云计算技术 (12) 1. 云计算的技术架构 (12) 2. 云计算“基础设施”关键技术 (13) 3. 云计算“操作系统”关键技术 (18) 4. 我国云计算技术发展 (20) 5. 云计算标准化进展 (22) 四、云计算数据中心 (24) 1. 全球云计算数据中心发展趋势 (24) 2. 我国数据中心的发展状况 (25) 3. 我国云计算数据中心布局的策略 (26) 五、云计算安全 (28) 1. 云计算安全概述 (28) 2. 云计算的法律环境 (29) 六、政府在云计算发展中的作用 (31) 1. 外国政府的云计算行动 (31) 2. 我国政府的云计算行动 (33) 七、我国发展云计算面临的机遇和存在的问题 (36) 1. 我国云计算发展面临的机遇 (36) 2. 我国在云计算发展中存在的问题 (36) 3. 我国云计算未来发展思考 (38)
概述 随着美国棱镜门事件以来,信息安全受到越来越多的国家和企业的重视,特别是今年从国家层面成立了网络安全与信息化领导小组,因此就某种程度而言,2014年可以说是真正的信息安全元年。就当前的信息安全建设驱动来看,主要来自政策性合规驱动和市场需求驱动是两个重要的驱动点。 ·从政策层面看国家成立了网络安全与信息化领导小组,强调自主可控是信息安全领域国家的基本意志体现。同时也出台了相关的政策要求对信息安全产品、云计算服务等进行安全审查,通过政策、法律、规范的合规性要求加强对信息安全的把控。 ·从需求层面来看,随着愈演愈烈各种的信息泄密事件、大热的APT攻击等,大量的企业对信息安全的认识已经从过去的“被动防御”转变成“主动防御”,尤其是新型的互联网金融、电商业务、云计算业务等都前瞻性企业都把安全当做市场竞争的重要砝码,并寻求各种资源不断提升用户对其信任性。 ·用户选择云计算服务的角度来看,我们了解了很多的云计算用户或潜在的云计算用户,用户的一项业务在往云计算中心迁移时考虑的前三位的要素一般是安全、技术成熟度和成本,其中首要考虑的是安全。因为由于云服务模式的应用,云用户的业务数据都在云端,因此用户就担心自己的隐私数据会不会被其他人看到,数据会不会被篡改,云用户的业务中断了影响收益怎么办,云计算服务商声称的各种安全措施是否有、能否真正起作用等,云用户不知道服务提供商提供的云服务是否真的达到许诺的标准等担忧。 1.云环境下的等级保护问题研究 综上所述,用户在选择云计算的时候首先会考虑安全性,对普通用户来说,云计算服务的合规性是安全上很重要的参考依据。云计算服务的安全合规目前主要有等级保护、27001、CSA云计算联盟的相关认证。其中等级保护是一项基本政策,比如用户的一个等级保护三级的业务,采用云计算模式时,一定要求云计算服务必须达到三级的要求。
XX单位虚拟桌面解决方案建议书
目录 1 现状与需求分析........................................错误!未定义书签。 现状分析......................................错误!未定义书签。 用户需求分析..................................错误!未定义书签。 任务型用户............................... 错误!未定义书签。 知识型用户............................... 错误!未定义书签。 交付方式选型..................................错误!未定义书签。 任务型用户............................... 错误!未定义书签。 知识型用户............................... 错误!未定义书签。 方案目标与收益................................错误!未定义书签。 2 虚拟桌面方案总体概述..................................错误!未定义书签。 虚拟桌面交付架构总体介绍......................错误!未定义书签。 虚拟桌面交付技术介绍..........................错误!未定义书签。 流桌面................................... 错误!未定义书签。 独占桌面................................. 错误!未定义书签。 虚拟桌面交付产品介绍..........................错误!未定义书签。 桌面虚拟化............................... 错误!未定义书签。 服务器虚拟化............................. 错误!未定义书签。 3 详细设计..............................................错误!未定义书签。 逻辑架构设计..................................错误!未定义书签。 数据中心逻辑架构设计..................... 错误!未定义书签。 用户接入逻辑架构设计..................... 错误!未定义书签。 详细架构设计..................................错误!未定义书签。 数据中心详细架构设计..................... 错误!未定义书签。 用户接入详细架构设计..................... 错误!未定义书签。
数据泄露防护(DLP)解决方案 以数据资产为焦点、数据泄露风险为驱动,依据用户数据特点(源代码、设计图纸、Office文档等)与具体应用场景(数据库、文件服务器、电子邮件、应用系统、PC终端、笔记本终端、智能终端等),在DLP平台上灵活采取数据加密、隔离、内容识别等多种技术手段,为用户提供针对性数据泄露防护整体解决方案,保障数据安全,防止数据泄露。 其中包括: 数据安全网关 数据安全隔离桌面 电子邮件数据安全防护 U盘外设数据安全防护 笔记本涉密数据隔离安全保护系统 笔记本电脑及移动办公安全 文档数据外发控制安全 1、数据安全网关 背景: 如今,企业正越来越多地使用ERP、OA、PLM等多种应用系统提升自身竞争力。与此同时,应用系统中的数据资产正受到前所未有的安全挑战。如何防止核心数据资产泄露,已成为信息安全建设的重点与难点。 概述: 数据安全网关是一款部署于应用系统与终端计算机之间的数据安全防护硬件设备。瞬间部署、无缝集成,全面实现ERP、OA、PLM等应用系统数据资产安全,保障应用系统中数据资产只能被合法用户合规使用,防止其泄露。
具体可实现如下效果: 应用安全准入 采用双向认证机制,保障终端以及服务器的真实性与合规性,防止数据资产泄露。非法终端用户禁止接入应用服务器,同时保障合法终端用户不会链接至仿冒的应用服务器。合法用户可正常接入应用服务器,访问应用系统资源,不受限制; 统一身份认证 数据安全网关可与LDAP协议等用户认证系统无缝集成,对用户进行统一身份认证,并可进一步实现用户组织架构分级管理、角色管理等; 下载加密上传解密 下载时,对经过网关的文件自动透明加密,下载的文档将以密文保存在本地,防止其泄露;上传时对经过网关的文件自动透明解密,保障应用系统对文件的正常操作; 提供黑白名单机制 可依据实际管理需要,对用户使用权限做出具体规则限定,并以此为基础,提供白名单、黑名单等例外处理机制。如:对某些用户下载文档可不执行加密操作; 提供丰富日志审计 详细记录所有通过网关的用户访问应用系统的操作日志。包括:时间、服务器、客户端、传输文件名、传输方式等信息,并支持查询查看、导出、备份等操作; 支持双机热备、负载均衡,并可与虹安DLP客户端协同使用,更大范围保护企业数据资产安全; 2、数据安全隔离桌面 背景: 保护敏感数据的重要性已不言而喻,但如何避免安全保护的“一刀切”模式(要么全保护、要么全不保护)?如何在安全保护的同时不影响外部网络与资源的正常访问?如何在安全保护的同时不损坏宝贵数据? 概述: 在终端中隔离出安全区用于保护敏感数据,并在保障安全区内敏感数据不被泄露的前提下,创建安全桌面用于安全访问外部网络与资源。在保障敏感数据安全的同时,提升工作效率。 具体可实现效果: 1)只保护安全区内敏感数据安全,其它数据不做处理; 2)通过身份认证后,方可进入安全区; 3)安全区内可直接通过安全桌面访问外部网络与资源; 4)安全区内敏感数据外发必须通过审核,数据不会通过网络、外设等途径外泄; 5)敏感数据不出安全区不受限制,数据进入安全区是否受限,由用户自定义;
2015绿盟科技云安全解决方案 2015 NSFOCUS Cloud Security Solution Word专业资料
目录 一云计算典型体系结构1 云计算系统分类1云计算系统典型物理架构1云计算系统逻辑结构3 二云计算安全威胁和需求分析4 安全威胁分析4安全需求和挑战7 三云安全防护总体架构设计7 设计思路8安全保障目标9安全保障体系框架9安全保障体系总体技术实现架构设计11 四云平台安全域划分和防护设计14 安全域划分14安全防护设计21 五云计算安全防护方案的演进39 虚拟化环境中的安全防护措施部署39软件定义安全体系架构40安全运营44 六云安全技术服务45 私有云安全评估和加固45私有云平台安全设计咨询服务46 七云安全解决方案53 作者和贡献者53关注云安全解决方案54 八关于绿盟科技54图表 图一.1云典型架构 (2) 图一.2云典型逻辑结构 (3) 图三.3云平台安全保障体系框架 (10) 图三.4云平台安全技术实现架构 (12) 图三.5具有安全防护机制的云平台体系架构 (13) 图四.6云平台安全域逻辑划分 (15) 图四.7安全域划分示例 (18) 图四.8传统安全措施的部署 (21) 图四.9虚拟化防火墙部署 (24) 图四.10异常流量监测系统部署 (27) 图四.11网络入侵检测系统部署图 (29) 图四.12虚拟化Web应用防火墙部署 (31) 图四.13堡垒机应用场景 (34) 图四.14堡垒机部署图 (35) 图四.15安全管理子区 (36) 图五.16SDN典型架构 (41) 图五.17软件定义安全防护体系架构 (41) 图五.18使用SDN技术的安全设备部署图 (42) 图五.19使用SDN技术实现流量牵引的原理图 (43) 图五.20基于手工配置的IPS防护模式 (44) 图六.21服务提供者与客户之间的安全控制职责围划分 47图六.22云计算关键领域安全 (50) 图六.23安全咨询服务思路 (51)
Chinasec(安元桌面云数据安全解决方案 背景介绍 随着云计算与虚拟化技术的不断成熟,桌面云(Desktop Cloud作为优化传统办公模式的解决方案而被广泛采用。桌面云是可以通过瘦客户端或者其他任何与网络相连的设备例如PAD来访问跨平台的应用程序。桌面云的用户桌面环境都是托管在企业的数据中心,本地终端只是一个显示设备而已,所有的数据都是集中存储在企业数据中心。这样可以提高数据的集中应用,减少企业对硬件采购费用,减少运维人员的工作量。但是同时也提高了数据外泄的几率,对企业数据中心中的数据安全提出了更高的要求。 风险分析 虚拟化终端使用过程中,由于账户成为了控制资源是否允许使用的唯一控制方式,通过身份冒用可以越权使用非授权信息,造成涉密信息的泄密。
采用虚拟化技术的云终端,数据统一归档存储在核心存储设备上,数据集中存储后,敏感数据均存储在服务器上(云端,存在非授权使用和非法访问等安全隐患。 在虚拟化的IT构架下,企业内部不通过本地进行数据存储和调用,统一将数据存储在云端进行存储,这种情况下,减少了数据在存储层面造成的数据泄露风险,但 是增加了数据的内部泄密情况的发生。 同时通过统一桌面云进行后台存储和管理,无法通过传统交换机方式实现VLAN的逻辑划分,对于部门之间或者工作组之间的隔离无法完成。同时,网络作为一个开 放性的交互手段,数据交互存在很大的便利性,同时对于数据的外泄也是一个巨大 的风险点。 解决方案 现有桌面云产品并没有完全解决企业信息泄密问题,传统的信息在存储、传输和使用过程中的安全风险在虚拟化环境中依然存在。明朝万达结合Chinasec(安元数据安全产品,推出桌面云数据安全解决方案: